4 błędy protokołu HTTP/2 umożliwiające hakerom zniszczenie serwerów.
Jeśli sądzisz, że protokół HTTP/2 jest bardziej bezpieczny niż standardowy protokół http możesz niestety się mylić. Zaledwie 4 miesiące temu odkryto cztery błędy znajdujące się w protokole HTTP/2.
HTTP/2 udało się poprawnie uruchomić w maju ubiegłego roku, po tym, jak Google dołączył w lutym do swojego projektu HTTP/2 SPDY, w celu przyspieszenia ładowania stron internetowych.
Specjaliści do spraw bezpieczeństwa w centrum danych Imperva, na konferencji Black Hat ujawnili szczegóły dotyczące co najmniej czterech luk w HTTP/2.
Luki pozwalają na atak mający na celu spowolnić serwery www, zalewając je niewinnie wyglądającymi wiadomościami, które niosą za sobą ładunek gigabajtów danych, zapętlają serwery a nawet powodują ich awarię.
Naukowcy wzięli pod lupę HTTP/2 z implementacjami serwerów z Apache, Microsoft, NGINX, Jetty oraz nghttp2. Odkryli wady we wszystkich głównych implementacjach HTTP/2.
1. Slow Read (CVE-2016-1546)
Atak ten jest identyczny, jak znany już Slowloris DDoS (Ddistributed denial-of-service), atak na główne procesory kart kredytowych. Slow Read attacks jest wciąż żywy w warstwie aplikacji HTTP/2.
2. HPACK Bomb (CVE-2016-1544, CVE-2016-2525)
HPACK Bomb jest atakiem na warstwę kompresji, który przypomina atak bombowy.
HPACK stosuje się w celu zmniejszenia wielkości nagłówków pakietów. Haker tworzy potencjalnie małe i niewinne wiadomości, które rzeczywiście niosą za sobą gigabajty danych, a rozpakowane spożywają wszystkie zasoby pamięci serwera, skutecznie spowalniając jego pracę oraz wydajność.
3. Dependency Cycle Attack (CVE-2015-8659)
Ten atak wykorzystuje mechanizm kontroli przepływu, które HTTP/2 wykorzystuje do optymalizacji sieci. Specjalnie spreparowane żądania zmuszają serwer do nieskończonej pętli.
4. Stream Multiplexing Abuse (CVE-2016-0150)
Ten atak pozwala na wykorzystanie luki w sposobie wdrażania funkcjonalności serwerów. Prowadzi on w końcu do odmowy usług (DoS) legalnym użytkownikom.
Wszystkie luki znalezione zostały w HTTP/2, który obecnie używany jest przez około 85 milionów stron internetowych (czyli ok. 9% wszystkich witryn w Internecie).
Zapobiec atakom i awariom miałoby wdrożenie firewalla.
źródło: http://thehackernews.com/